资讯安全政策

1. 政策目的

奇邑科技股份有限公司（以下简称本公司）为推动资讯安全、云端安全管理系统，建立安全及可信赖之资讯作业环境，确保资料、系统、设备及网路安全，特订定「资讯安全政策」（以下简称本政策），以确保资讯安全、云端安全及提升服务品质，并达永续经营之目标。

2. 适用范围

所有本公司之员工、合作伙伴、供应商、云端服务客户及云端服务提供者等，皆有责任遵循本政策。

3. 宣导标语

「资通安全，人人有责」

4. 资安政策及资安目标

4.1 本公司员工，均须签署本公司「聘雇合约书」，外部方参加本公司专案人员均须签署「外部方切结书」，并遵守「国家机密保护法」、「营业秘密法」、「个人资料保护法」、「著作权法」、「刑法」、「资通安全管理法」、「资通安全管理法施行细则」及资通安全管理法子法等国家相关法规之要求，且不得发生泄密或违法事件。

4.2 委制、共同合作或专案资料之存取或异动，专案档案均应设置存取权限，敏感（机密）资讯传输前必须先行加密。

4.3 云端服务安全管理：

4.3.1  因应云端服务之资讯安全风险，依照ISO 27001及IS0 27017之资安要求，设计、建置与提供云端服务，并做好风险管理。

4.3.2  所有云端服务设计、规划、建置、运维等相关内部⼈员，皆于任用时即签署告知应负的法律责任与义务。

4.3.3  相关内部人员均了解并签署保密切结文件，以对机密性或敏感性资料的控管。

4.3.4  内部⼈员对相关系统资讯存取，以最小权限、最少资讯为原则，并以帐号申请与角色分类控管权限。

4.3.5  云端平台运维人员仅限定特定人员可注册申请平台系统存取权限。

4.3.6  云端服务为多租户平台，每⼀租户皆可享有独立虚拟化使用空间，于部署VM服务和使用时，不与其他租户间的服务资源互相影响。

4.3.7  云端服务如需进行平台优化、异动调整等可能影响服务时，将主动提前通知用户。

4.3.8  云端服务客户进行变更管理，由专人处理云端服务任何相关问题。

4.3.9  云端服务客户需透过SSH或VPN加密连线至 VM进行管理，以确保连线安全。

4.3.10 落实云端服务客户帐户的生命周期管理。

4.3.11 云端平台提供申装资源的新增、异动、退租等所有操作时间历史纪录。

4.3.12 本云服务提供商位于台湾，可以储存及保护云服务客户资料。

4.3.13 沟通违规行为与资讯共享，以协助调查与取证。